"Patientin psychisch krank, bitte zu zweit fahren", lautet der Hinweis an den Fahrdienst des Deutschen Roten Kreuzes in Frankfurt (Oder). Daneben das Geburtsdatum der Patientin, ihr Name, ihre Krankenkasse, der Ort an dem sie abgeholt werden soll und das Ziel des Transports in der Stadt Fürstenwalde. Es ist eine von über 111 000 Fahrten von Krankentransporten, die auf einem schlecht geschützten Server des Deutschen Roten Kreuzes (DRK) in Brandenburg protokolliert waren.
Über die Webseite des DRK-Kreisverbandes Märkisch-Oder-Havel-Spree war ein Hacker im vergangenen Jahr auf eine Sicherheitslücke gestoßen, die es ihm ermöglichte, an das Passwort eines Administrators zu gelangen und die sensiblen Daten herunterzuladen. Reporter der Süddeutschen Zeitung, des Bayerischen Rundfunks und des Rundfunks Berlin-Brandenburg konnten die Daten gemeinsam einsehen. Sie reichen von 2019 bis ins Jahr 2008 zurück und betreffen mehr als 30 000 Personen. Neben den Informationen über Krankentransporte sind auch persönliche Daten von Teilnehmern an Erste-Hilfe-Kursen darunter.
Der erst 18-jährige Hacker reagierte besonnen und meldete seine Entdeckung einem der betroffenen Kreisverbände. Als man ihm dort nicht glauben wollte, fertigte er ein Video seines Vorgehens an. Es dauert nur etwas mehr als drei Minuten. Am Ende der Aufzeichnung sieht man das System, in dem die Krankentransporte des DRK-Fahrdienstes Frankfurt (Oder) gesteuert werden. Der Hacker hätte hier beispielsweise Fahrten löschen können, die Patienten zur Dialyse bringen sollten.
Die Aufnahme zeigt auch, wie leicht und schnell Hacker Schaden an kritischer Infrastruktur anrichten könnten, wenn diese schlecht geschützt ist: Der 18-Jährige nutzte ein Programm, das bekannte Sicherheitsschwachstellen automatisiert angreift und so unberechtigt auf Daten zugreifen kann. Dass die Seiten des DRK angreifbar waren, erfuhr er durch eine präzise Google-Suche. Ein Standardvorgehen von Hackern, um von Sicherheitslücken betroffene Webseiten aufzuspüren.
Das Krisenmanagement des DRK beschränkte sich offenbar zunächst darauf, eine der betroffenen Seiten zu sperren. Das Einfallstor auf dem betroffenen Server blieb offen. Noch Mitte Januar konnte der Hacker sein Vorgehen wiederholen und wandte sich an Journalisten. Ob andere zwischenzeitlich ebenfalls an die Daten gelangt waren, ist unklar. Die erbeuteten Zugangsdaten des Administrators waren bereits 2017 auf einer türkischsprachigen Website für Hacker aufgetaucht.
So ein Problem muss eigentlich binnen 72 Stunden gemeldet werden
Das DRK-Generalsekretariat und der Landesverband Brandenburg erklärten auf Anfrage, man bedaure sehr, "dass es in drei Kreisverbänden und beim Landesverband Brandenburg eine Schwachstelle auf der Webseite und in Datenbanken gegeben" habe. Der Vorfall sei regional begrenzt, man habe ihn aber zum Anlass genommen, alle 19 Landesverbände und den Verband der Schwesternschaften des DRK aufzufordern, die Datensicherheit ihrer Webseiten und Datenbanken zu überprüfen. Das Generalsekretariat, die Landesverbände und etwa 500 Kreisverbände sind rechtlich unabhängig organisiert. Nach eigenen Angaben betreibt das DRK deshalb keine einheitliche IT-Infrastruktur. Jeder DRK-Verband könne aber ein kostenloses Angebot des Generalsekretariats nutzen.
"Datensicherheit muss für uns oberste Priorität haben" heißt es in der Stellungnahme von Generalsekretariat und Landesverband. Der Umgang des DRK mit der Meldung des Hackers weckt daran zumindest Zweifel: Wer den Schutz personenbezogener Daten verletzt, muss dies "unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde" an die zuständige Aufsichtsbehörde melden. So verlangt es die Datenschutzgrundverordnung (DSGVO). Laut Auskunft der brandenburgischen Datenschutzbeauftragten meldeten sich zwei der betroffenen Kreisverbände jedoch erst am Dienstag. Mehr als 72 Tage nach dem ersten Hinweis. Der DRK-Landesverband Brandenburg beteuert, erst durch die Anfrage der SZ von dem Vorfall erfahren zu haben.